16.10.2010   

FR

Journal officiel de l'Union européenne

C 280/16


Avis du contrôleur européen de la protection des données sur la proposition d’une directive du Parlement européen et du Conseil relative aux déchets d’équipements électriques et électroniques (DEEE)

2010/C 280/02

LE CONTRÔLEUR EUROPÉEN DE LA PROTECTION DES DONNÉES,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 16,

vu la Charte des droits fondamentaux de l’Union européenne, et notamment son article 8,

vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et notamment son article 17,

vu le règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, et notamment son article 41,

A ADOPTÉ L’AVIS SUIVANT:

I.   INTRODUCTION

1.

Le 3 décembre 2008, la Commission a adopté une proposition de directive du Parlement européen et du Conseil relative aux déchets d’équipements électriques et électroniques (DEEE) (ci-après «la proposition») (1). Cette proposition vise à refondre la directive 2002/96/CE relative aux déchets d’équipements électriques et électroniques (DEEE) adoptée le 27 janvier 2003 (ci-après «la directive») (2) sans modification des motivations ou de la raison d’être de la collecte et du recyclage des DEEE.

2.

Le CEPD n’a pas été consulté comme l’exige l’article 28, paragraphe 2, du règlement (CE) no 45/2001 (3). De sa propre initiative, le CEPD a par conséquent adopté le présent avis sur la base de l’article 41, paragraphe 2, du même règlement. Le CEPD recommande qu’il soit fait référence à cet avis dans le préambule de la proposition.

3.

Le CEPD a conscience que cet avis intervient à un stade avancé du processus législatif mais considère néanmoins qu’il est approprié et utile d’émettre cet avis dans la mesure où la proposition soulève d’importantes questions de protection des données qui ne sont pas abordées dans le texte. Le présent avis n’a pas pour objectif de modifier l’objet principal et le contenu de la proposition, dont le «centre de gravité» (4) reste la protection de l’environnement, mais seulement d’apporter une nouvelle dimension qui est de plus en plus importante pour notre société de l’information (5).

4.

Le CEPD, qui est également conscient de la portée limitée de la procédure de refonte, engage néanmoins le législateur à tenir compte de ces recommandations conformément à l’article 8 de l’accord interinstitutionnel sur la procédure de refonte (qui prévoit la possibilité de modifier les dispositions restées inchangées) (6).

II.   CONTEXTE ET HISTORIQUE DE LA PROPOSITION ET SA PERTINENCE AVEC LA PROTECTION DES DONNÉES

5.

La proposition a pour objet d’actualiser l’actuelle directive concernant l’élimination, la réutilisation et le recyclage des DEEE. Les problèmes techniques, juridiques et administratifs apparus dans les premières années de mise en œuvre de la directive ont donné lieu à la proposition, comme prévu à l’article 17, paragraphe 5, de la directive.

6.

Les équipements électriques et électroniques (EEE) constituent un vaste groupe de produits incluant un ensemble varié de supports permettant de stocker des données à caractère personnel — tels que les équipements informatiques et de télécommunications (par ex. ordinateurs individuels, ordinateurs portables, équipements terminaux de communications électroniques) — caractérisés, dans le contexte techno-économique actuel, par des cycles d’innovation de plus en plus rapides et, en raison de la convergence technologique, par la disponibilité d’appareils polyvalents. Dans le domaine des supports de stockage de données électroniques, l’évolution est de plus en plus rapide, notamment en ce qui concerne la capacité et la taille de stockage, et par conséquent les forces du marché entraînent un renouvellement également accéléré des EEE (contenant d’importantes quantités de données à caractère personnel souvent sensibles). Il en résulte que non seulement le flux de DEEE est considéré être le flux de déchets qui progresse le plus rapidement dans l’UE (7), mais aussi qu’en cas d’élimination inappropriée, il existe un risque accru et évident de perte et de dispersion des données à caractère personnel stockées dans ces types d’EEE.

7.

Depuis longtemps, les politiques de l’Union européenne relatives à l’environnement et au développement durable visent à réduire les déchets des ressources naturelles et à adopter des mesures de prévention de la pollution.

8.

L’élimination, la réutilisation et le recyclage des DEEE entrent dans ce cadre. Ces mesures cherchent à empêcher l’élimination des équipements électriques et électroniques avec les déchets mixtes en obligeant les producteurs à assurer l’élimination de la manière spécifiée par la directive.

9.

En particulier, parmi les diverses mesures envisagées par la directive, il est intéressant de souligner celles qui concernent la réutilisation (c’est-à-dire toute opération permettant d’utiliser des DEEE ou certains de leurs éléments aux mêmes fins que celles pour lesquelles ils ont été conçus, y compris la poursuite de l’utilisation des équipements où éléments d’équipements qui sont déposés aux points de collecte ou rapportés aux distributeurs, recycleurs ou fabricants), le recyclage (c’est-à-dire le retraitement, dans un processus de production, des déchets aux mêmes fins ou à d’autres fins) et de trouver d’autres formes de récupération des DEEE visant à réduire l’élimination des déchets [voir les articles 1 et 3, points d) et e), de la directive].

10.

Ces opérations, en particulier celles qui concernent la réutilisation et le recyclage des DEEE, notamment des équipements informatiques et de télécommunications, peuvent présenter le risque, plus grand que par le passé, que ceux qui collectent les DEEE ou qui vendent et achètent les appareils usagés ou recyclés puissent prendre connaissance des données à caractère personnel qui sont stockées dedans. Ces données peuvent souvent être sensibles ou concerner de grands nombres de personnes physiques.

11.

Pour toutes ces raisons, le CEPD considère qu’il est urgent d’informer toutes les parties concernées (utilisateurs et producteurs d’EEE) des risques relatifs aux données à caractère personnel, notamment en phase finale du cycle de vie des EEE. À ce stade, bien que les EEE aient perdu une bonne partie de leur valeur économique, ils sont susceptibles de contenir de grandes quantités de données à caractère personnel et d’avoir par conséquent une forte valeur «intrinsèque» de ce point de vue et/ou d’autres.

III.   ANALYSE DE LA PROPOSITION

III.1.   Applicabilité de la directive 95/46/CE

12.

Le CEPD n’a aucune observation à faire concernant l’objectif général de la proposition et soutient totalement l’initiative prise, qui souhaite améliorer les politiques favorables à l’environnement adoptées dans le domaine des DEEE.

13.

Toutefois, la proposition, ainsi que la directive, met uniquement l’accent sur les risques environnementaux liés à l’élimination des DEEE. Elle ne tient pas compte des risques supplémentaires, pour les personnes physiques et/ou les organisations, pouvant résulter des opérations d’élimination, de réutilisation ou de recyclage des DEEE, en particulier de ceux qui sont liés à la possibilité d’une acquisition inappropriée de données à caractère personnel stockées dans les DEEE, de leur divulgation ou de leur diffusion.

14.

Il est important de noter que la directive 95/46/CE (8) s’applique à «toute opération ou ensemble d’opérations effectuées sur des données à caractère personnel», y compris leur «effacement ou leur destruction» [article 2 point b)]. L’élimination des EEE peut inclure des opérations de traitement de données. Pour cette raison, il y a chevauchement entre la proposition et la directive susmentionnée, et les règles de protection des données peuvent s’appliquer aux activités couvertes par la proposition.

III.2.   Élimination des EEE et mesures de sécurité

15.

Le CEPD a l’intention d’attirer l’attention sur les risques considérables auxquels sont exposées les personnes physiques et/ou les organisations agissant comme «responsables du traitement» (9) lorsque les DEEE, en particulier les équipements informatiques et de télécommunications, contiennent des données à caractère personnel concernant les utilisateurs de ces équipements et/ou des tiers au moment de leur élimination. L’accès illégal à ces informations à caractère personnel ou la divulgation de telles informations consistant parfois en catégories spéciales de données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, et en données concernant la santé et la vie sexuelle (appelées «données sensibles») (10), peuvent en effet affecter la vie privée et la dignité des personnes auxquelles ces informations sont liées, ainsi que d’autres intérêts légitimes des personnes physiques/organisations concernées (par ex. des intérêts économiques).

16.

D’une manière générale, le CEPD considère qu’il est nécessaire de souligner l’importance de l’adoption de mesures de sécurité appropriées à chaque stade (du début à la fin) du traitement des données à caractère personnel, comme cela a déjà été souligné à plusieurs reprises dans d’autres avis (11). Cela vaut a fortiori pour la phase délicate au cours de laquelle le responsable du traitement a l’intention d’éliminer des équipements contenant des données à caractère personnel.

17.

En effet, le respect de mesures de sécurité est souvent une condition préalable à la garantie effective du droit à la protection des données à caractère personnel.

18.

Il serait par conséquent illogique d’instaurer l’obligation de mettre en place des mesures de sécurité (parfois coûteuses) dans le cours normal des opérations de traitement des données à caractère personnel (comme envisagé dans l’article 17 de la directive 95/46/CE, le cas échéant) (12) puis d’omettre tout simplement de prendre en considération l’adoption de mesures de sécurité suffisantes concernant l’élimination des DEEE.

19.

Il serait tout aussi illogique de donner de l’importance à la question de la sécurité des données au point d’introduire la notification des violations de données à caractère personnel par l’intermédiaire de l’article 3 de la directive 2009/136/CE (13) puis de ne prévoir aucune garantie ou mesure de sécurité pendant l’élimination des DEEE ainsi qu’en cas de réutilisation ou de recyclage de DEEE.

20.

Le CEPD regrette que la proposition ne tienne pas compte des effets potentiellement préjudiciables que l’élimination des DEEE peut avoir sur la protection des données à caractère personnel stockées dans les équipements «usagés».

21.

Il n’a pas non plus été tenu compte de cet aspect dans l’évaluation d’impact effectuée par la Commission (14) alors que l’expérience montre qu’en ne prenant pas de mesures de sécurité appropriées dans le cas de l’élimination des DEEE on pouvait compromettre la protection des données à caractère personnel (15). En raison de la complexité des questions concernées (par exemple la multitude de méthodes, technologies et parties prenantes légitimes dans le cycle d’élimination des DEEE), le CEPD considère qu’il aurait été normal d’effectuer une évaluation de l’impact sur la protection de la vie privée et des données portant sur les processus liés à l’élimination des DEEE.

22.

Néanmoins, le CEPD conseille vivement de recenser les «meilleures techniques disponibles» pour la protection de la vie privé et des données, et pour la sécurité, dans ce domaine.

23.

Preuve supplémentaire, lors de la consultation publique ayant précédé la refonte de la directive, des questions concernant la sécurité et la protection des données à caractère personnel ont parfois été soulevées par les parties prenantes, notamment par des entreprises d’informatique et de communications électroniques (16).

24.

Enfin, il est intéressant de souligner que certaines autorités nationales de protection des données ont publié des lignes directrices visant à réduire au minimum les risques pouvant résulter du fait que les mesures de sécurité nécessaires n’ont pas été prises, notamment au moment de l’élimination des équipements auxquels s’applique la directive (17).

25.

Le CEPD rappelle que la directive 95/46/CE est applicable au stade d’élimination des DEEE contenant des données à caractère personnel. Les responsables du traitement — notamment ceux qui utilisent des équipements informatiques et de communications — sont par conséquent tenus de se soumettre à leurs obligations de sécurité visant à empêcher la communication ou la divulgation intempestive de données à caractère personnel. À cet effet, et afin de ne pas être tenu responsable de la violation des mesures de sécurité, le responsable du traitement du secteur public ou privé, en collaboration avec les agents de protection des données (s’ils sont présents), doit adopter des politiques appropriées d’élimination des DEEE contenant des données à caractère personnel.

26.

Lorsque les responsables du traitement chargés d’éliminer les EEE n’ont pas les compétences et/ou le savoir-faire technique nécessaires pour effacer les données à caractère personnel concernées, ils peuvent confier cette tâche à des sous-traitants qualifiés (par ex. des centres d’assistance, des fabricants et distributeurs d’équipements) dans les conditions stipulées dans l’article 17, paragraphes 2, 3 et 4 de la directive 95/46/CE. Ces sous-traitants doivent, de leur côté, certifier la réalisation des opérations en question et/ou les exécuter.

27.

Compte tenu de ces considérations, le CEPD conclut que la refonte de la directive doit ajouter les principes de protection des données aux dispositions concernant la protection de l’environnement.

28.

Le CEPD recommande donc que le Conseil et le Parlement européen ajoutent à l’actuelle proposition une disposition spécifique selon laquelle la directive concerne l’élimination des DEEE sans préjudice de la directive 95/46/CE.

III.3.   Réutilisation ou recyclage des DEEE et mesures de sécurité

29.

En situation de prendre des décisions autonomes concernant les données stockées dans les EEE, les responsables des opérations d’élimination peuvent être considérés comme des «responsables du traitement» (18). Ils doivent par conséquent adopter des procédures internes leur permettant d’éviter toutes opérations de traitement inutiles portant sur des données à caractère personnel stockées dans les DEEE, à savoir d’autres opérations que celles qui sont strictement nécessaires pour vérifier l’élimination effective des données qu’ils contiennent.

30.

De plus, ils ne doivent pas permettre à des personnes non autorisées de prendre connaissance des données stockées dans les EEE ou d’en effectuer le traitement. En particulier, lorsque les supports de stockage sont recyclés ou réutilisés et que, par conséquent, ils sont remis sur le marché, il y a un risque accru de communication ou de divulgation intempestives de données à caractère personnel, ainsi qu’un besoin d’empêcher tout accès non autorisé aux données à caractère personnel.

31.

Le CEPD recommande par conséquent que le Conseil et le Parlement européen ajoutent à l’actuelle proposition une disposition particulière visant à interdire la commercialisation d’appareils usagés n’ayant pas été préalablement soumis à des mesures appropriées de sécurisation, conformément aux normes techniques les plus récentes (par exemple écrasement multi-passe), pour effacer les données à caractère personnel qu’ils sont susceptibles de contenir.

III.4.   Respect de la vie privée et prise en compte de la sécurité «dès la conception»

32.

Le futur cadre juridique applicable aux e-déchets doit non seulement comporter une disposition spécifique concernant l’élargissement du «principe d’éco-design» des équipements (voir l’article 4 de la proposition concernant la «Conception du produit», mais également — comme indiqué préalablement dans d’autres avis du CEPD (19) — une disposition concernant le principe de «vie privée assuré dès la conception» (20) ou, plus précisément, dans ce domaine, le principe de «sécurité assuré dès la conception» (21). Le respect de la vie privée et la protection des données doivent, autant que possible, être intégrés «par défaut» dans la conception des équipements électriques et électroniques, afin de permettre aux utilisateurs d’effacer — simplement et gratuitement — les données à caractère personnel susceptibles d’être présentes dans les équipements au moment de leur élimination (22).

33.

Cette approche est clairement appuyée par l’article 3, paragraphe 3, point c) de la directive 1999/5/CE (23) concernant la conception des équipements hertziens et des équipements terminaux de télécommunications, et par l’article 14, paragraphe 3, de la directive 2002/58/CE (24).

34.

Par conséquent, les producteurs doivent «intégrer» des sauvegardes visant à assurer le respect de la vie privée et la sécurité des données au moyen de solutions technologiques (25). Dans ce contexte, les initiatives visant à informer les personnes concernées de la nécessité d’effacer les données à caractère personnel avant de procéder à l’élimination des DEEE (y compris les producteurs offrant des logiciels gratuits à cette fin) doivent également être encouragées et soutenues (26).

IV.   CONCLUSIONS

35.

Compte tenu de ce qui précède, le CEPD recommande que les autorités de protection des données, en particulier par l’intermédiaire du groupe de travail «Article 29», et le CEPD lui-même collaborent étroitement aux initiatives concernant l’élimination des DEEE grâce à un processus de consultation mené suffisamment tôt avant l’élaboration de mesures pertinentes.

36.

Compte tenu du contexte dans lequel les données à caractère personnel sont traitées, le CEPD suggère que la proposition comporte des dispositions particulières:

déclarant que la directive relative aux DEEE s’applique sans préjudice de la directive 95/46/CE,

interdisant la commercialisation d’équipements usagés n’ayant pas été préalablement soumis à des mesures de sécurité appropriées, conformément aux normes techniques les plus modernes, visant à effacer les données à caractère personnel qu’ils sont susceptibles de contenir,

concernant le principe du «respect de la vie privée dès la conception» ou de la «sécurité des données dès la conception»: autant que possible, le principe de respect de la vie privée et de protection des données à caractère personnel doit être intégré «par défaut» dans la conception des équipements électriques et électroniques, afin de permettre aux utilisateurs d’effacer — simplement et gratuitement — les données à caractère personnel susceptibles d’être présentes dans ces équipements au moment de leur élimination.

37.

Par conséquent, le CEPD conseille vivement que la proposition soit modifiée, conformément à la directive 95/46/CE, comme suit:

—   considérant (11):

«En outre, la présente directive doit s’appliquer sans préjudice de la législation relative à la protection des données, notamment la directive 95/46/CE. Les équipements électriques et électroniques (EEE) constituant un vaste groupe de produits incluant un certain nombre de supports capables de stocker des données à caractère personnel (par exemple les équipements informatiques et de télécommunications), les opérations d’élimination les concernant, notamment leur réutilisation et leur recyclage, peuvent présenter des risques d’accès non autorisé aux données à caractère personnel stockées dans les DEEE. Par conséquent, des sauvegardes visant à assurer le respect de la vie privée et la protection des données à caractère personnel doivent autant que possible être intégrées par défaut dans la conception des équipements électriques et électroniques capables de stocker des données à caractère personnel, afin de permettre aux utilisateurs d’effacer — simplement et gratuitement — les éventuelles données de ce type présentes au moment de l’élimination de ces équipements.»,

—   article 2, paragraphe 3:

«La présente directive s’applique sans préjudice de la législation relative à la protection des données, notamment la directive 95/46/CE.»

38.

En outre, le CEPD estime opportun de prendre en considération les modifications suivantes:

—   article 4, paragraphe 2:

«Les États membres encouragent les mesures visant à favoriser la conception et la production d’équipements électriques et électroniques facilitant l’effacement des données à caractère personnel éventuellement contenues dans les EEE au moment de leur élimination»,

—   article 8, paragraphe 7:

«Les États membres s’assurent que tout DEEE collecté, contenant des données à caractère personnel et soumis à un traitement en vue de son recyclage ou de sa réutilisation, ne sera pas commercialisé tant que lesdites données n’auront pas été effacées en appliquant les meilleures techniques disponibles.»,

—   article 14, paragraphe 6:

«Les États membres peuvent exiger des producteurs et/ou des distributeurs qu’ils donnent aux utilisateurs d’EEE contenant des données à caractère personnel, des informations, par ex. dans le mode d’emploi ou au point de vente, concernant la nécessité d’effacer les données à caractère personnel susceptibles d’être contenues dans les EEE avant l’élimination de ces derniers».

Fait à Bruxelles, le 14 avril 2010.

Peter HUSTINX

Contrôleur européen de la protection des données


(1)  COM(2008) 810 final.

(2)  JO L 37, 13.2.2003, p. 24.

(3)  Règlement (CE) no 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données, JO L 8 du 12.1.2001, p. 1.

(4)  Voir CJE, 23.2.1999, C-42/97 Parlement européen contre Conseil de l’Union européenne, [1999] ECR I-869, par. 43.

(5)  Voir également, inter alia, CJE, 30.1.2001, C-36/98 Espagne contre Conseil, [2001] ECR I-779, par. 59: «Si l'examen d'un acte communautaire démontre qu'il poursuit une double finalité ou qu'il a une double composante et si l'une de celles-ci est identifiable comme principale ou prépondérante, tandis que l'autre n'est qu'accessoire, l'acte doit être fondé sur une seule base juridique, à savoir celle exigée par la finalité ou composante principale ou prépondérante».

(6)  Accord interinstitutionnel du 28 novembre 2001 pour un recours plus structuré à la technique de la refonte des actes juridiques, JO C 77 du 28.3.2002, p. 1.

(7)  Voir le document de travail du personnel de la Commission accompagnant la proposition d’une directive du Parlement européen et du Conseil relative aux déchets d’équipements électriques et électroniques (DEEE) (refonte). Évaluation de l’impact, 3.12.2008 [COM(2008) 810 final] SEC(2008) 2933, p. 17.

(8)  Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995, p. 31.

(9)  Pour la définition de «responsable du traitement», voir l’article 2, point d), de la directive 95/46/CE.

(10)  Voir article 8, directive 95/46/CE.

(11)  Voir l’avis du CEPD sur l’agence pour systèmes d’information à grande échelle (JO C 70 du 19.3.2010, p. 13), points 46 et 47; l’avis sur la proposition d’une directive relative à l’application des droits des patients en matière de soins de santé transfrontaliers (JO C 128 du 6.6.2009, p. 20), points 27-31.

(12)  Voir l’article 3 de la même directive.

(13)  Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, et règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs, JO L 337 du 18.12.2009, p. 11.

(14)  Document de travail du personnel de la Commission accompagnant la proposition d’une directive du Parlement européen et du Conseil relative aux déchets d’équipements électriques et électroniques (DEEE) (refonte), SEC(2008) 2933, 3.12.2008; mais voir également United Nations University, 2008 Review of Directive 2002/96/EC on Waste Electrical and Electronic Equipment (Examen de la directive 2002/96/CE relative aux déchets d’équipements électriques et électroniques — DEEE), Commission européenne, Belgique, 2007, p. 273 (http://ec.europa.eu/environment/waste/weee/pdf/final_rep_unu.pdf); Data security is also an issueremoving personal data from a hard-drive (La sécurité des données est également en cause — élimination de données à caractère personnel d’un disque dur).

(15)  Voir, par ex., l’article en ligne Children's files on eBay computer de la BBC, 4 mai 2007, selon lequel un ordinateur contenant des données à caractère personnel sur le placement et l’adoption d’enfants a été vendu sur eBay (http://news.bbc.co.uk/2/hi/uk_news/england/6627265.stm); voir également l’article en ligne Bank customer data sold on eBay de la BBC, 26 août 2008, selon lequel un disque dur contenant des données à caractère personnel sur un million de clients d’une banque a été vendu sur eBay (http://news.bbc.co.uk/2/hi/uk_news/7581540.stm).

(16)  Voir HP, Stakeholder Consultation on the Review of Directive 2002/96/EC of the European Parliament and of the Council on Waste Electrical and Electronic Equipment (consultation des parties prenantes sur l’examen de la directive 2002/96/CE du Parlement européen et du Conseil, relative aux déchets d’équipements électriques et électroniques — DEEE), p. 7-8; DELL (projet de commentaires), WEEE Review Policy Options of the stakeholder consultation on the review of directive 2002/96/CE of the European Parliament and of the Council on Waste Electrical And Electronic Equipment (options politiques de la consultation des parties prenantes sur l’examen de la directive 2002/96/CE du Parlement européen et du Conseil, relative aux déchets d’équipements électriques et électroniques — DEEE), p. 2, point 1.1 et 4, point 1.3 (3.6.2008); Royal Philips Electronics Position and Proposal, Stakeholder consultation on the Revision of the WEEE Directive (consultation des parties prenantes sur la révision de la directive DEEE), p. 12 (5.6.2008) (http://circa.europa.eu/Public/irc/env/weee_2008_review/library). Voir également WEEE Consultation Response, Summary of responses and Government response to fourth consultation on implementation of Directives 2002/96/EC and 2003/108/EC on Waste Electrical and Electronic Equipment, décembre 2006, p. 30: «Data protection and security. Some waste management companies would like there to be some guidance issued on data protection and security, particularly in light of the fact they will be handling sensitive data» (Protection et sécurité des données. Des entreprises de gestion des déchets aimeraient que soient publiés des conseils sur la protection et la sécurité des données, notamment compte tenu du fait qu’elles doivent traiter des données sensibles) (http://www.berr.gov.uk/files/file35961.pdf).

(17)  Landesbeauftragter für Datenschutz und Informationsfreiheit Bremen, Entwicklung eines Konzeptes zur Löschung und Datenträgervernichtung durch Behörden und Unternehmen, 16. Mai 2007 (http://www.datenschutz-bremen.de/rtf/datenloeschung.rtf); Garante per la protezione dei dati personali, Electrical and Electronic Waste and Data Protection, 13 octobre 2008 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1583482), également mentionné dans le douzième rapport annuel du groupe de travail «Article 29» sur la protection des données, 16 juin 2009, p. 57; voir également International Working Group on Data Protection and Telecommunications, Recommendation on Data Protection and E-Waste, Sofia, 12-13.3.2009 (http://www.datenschutz-berlin.de/attachments/650/675.38.14.pdf?1264671551).

(18)  The concept of controller is […] functional, in the sense that it is intended to allocate responsibilities where the factual influence is, and thus based on a factual rather than a formal analysis (le concept de responsable du traitement est […] fonctionnel en ce sens qu’il est prévu d’attribuer des responsabilités en fonction de l’influence factuelle, et par conséquent sur la base d’une analyse factuelle et non pas formelle): voir le groupe de travail «Article 29» sur la protection des données, WP 169, Opinion 1/2010 on the concepts of «controller» and «processor», adopté le 16 février 2010.

(19)  Voir, par ex., Le CEPD et la recherche et le développement technologique dans l’UE, document stratégique, 28 avril 2008, p. 2; avis du CEPD sur les systèmes de transport intelligents (JO C 47 du 25.2.2010, p. 6); avis du CEPD sur la pharmacovigilance (JO C 229 du 23.9.2009, p. 19).

(20)  Pour une large application du principe, voir le groupe de travail «Article 29» sur la protection des données — le groupe de travail sur la police et la justice, l’avenir de la protection de la vie privée. Contribution conjointe à la Consultation de la Commission européenne sur le cadre juridique du droit fondamental à la protection des données à caractère personnel, WP 168, adoptée le 1er décembre 2009, p. 3 et 12; voir également la recommandation de la Commission sur la mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur l’identification par radiofréquences, C(2009) 3200 final, p. 8.

(21)  Voir la communication de la Commission, Agenda européen de la recherche et de l’innovation en matière de sécurité — Position initiale de la Commission sur les principales constatations et recommandations du forum ESRIF, COM(2009) 691 final, p. 6 et 14.

(22)  Voir également EDPS, Opinion of 18 March 2010 on promoting trust in the Information Society by fostering data protection and privacy (CEPD, avis du 18 mars sur la promotion de la confiance dans la société de l’information en favorisant la protection des données et le respect de la vie privée).

(23)  Article 3, paragraphe 3, de la directive 1999/5/CE du Parlement européen et du Conseil du 9 mars 1999 concernant les équipements hertziens et les équipements terminaux de télécommunications et la reconnaissance mutuelle de leur conformité (JO L 91 du 7.4.1999, p. 10): «[…] la Commission peut décider que les appareils relevant de certaines catégories d’équipement ou certains types d’appareils sont construits de sorte qu’ils comportent des sauvegardes afin d’assurer la protection des données à caractère personnel et de la vie privée des utilisateurs et des abonnés».

(24)  «Au besoin, des mesures sont adoptées afin de garantir que les équipements terminaux soient construits de manière compatible avec le droit des utilisateurs de protéger et de contrôler l’utilisation de leurs données à caractère personnel, conformément à la directive 1999/5/CE et à la décision 87/95/CEE du Conseil du 22 décembre 1986 relative à la normalisation dans le domaine des technologies de l’information et des communications». Voir également le considérant 46 de la même directive, mentionné dans la note en bas de page 13.

(25)  En faveur de cette perspective stratégique, voir également le discours-programme de V. Reding lors de la Journée européenne de la protection des données, 28 janvier 2010, Parlement européen, Bruxelles, SPEECH/10/16: Businesses must use their power of innovation to improve the protection of privacy and personal data from the very beginning of the development cycle. Privacy by Design is a principle that is in the interest of both citizens and businesses. Privacy by Design will lead to better protection for individuals, as well as to trust and confidence in new services and products that will in turn have a positive impact on the economy. I have seen some encouraging examples, but much more needs to be done (les entreprises doivent faire appel à leurs capacités d’innovation pour améliorer le respect de la vie privée et la protection des données à caractère personnel dès le début du cycle de développement. Le respect de la vie privée dès la conception est un principe à appliquer dans l’intérêt des utilisateurs comme dans celui des entreprises. L’application de ce principe entraînera une meilleure protection des personnes physiques et renforcera la confiance qu’on peut avoir dans de nouveaux services et produits, cette confiance ayant à son tour un impact positif sur l’économie. J’ai constaté l’existence d’exemples encourageants, mais il reste encore beaucoup, beaucoup à faire).

(26)  Voir, par ex., Royal Canadian Mounted Police, B2-002 — IT Media Overwrite and Secure Erase Products (05/2009), http://www.rcmp-grc.gc.ca/ts-st/pubs/it-ti-sec/index-eng.htm